Windowsユーザーを騙してStealCマルウェアをインストールさせる新たなFileFix攻撃から身を守る

Windowsユーザーを騙してStealCマルウェアをインストールさせる新たなFileFix攻撃から身を守る

FileFix攻撃と呼ばれる高度な攻撃手法が現在Windowsユーザーを標的としており、StealCインフォスティーラーをインストールさせることに成功しています。この手法を悪用した様々なソーシャルエンジニアリングキャンペーンが出現しています。この記事では、FileFix攻撃の仕組みを解説し、デバイスを保護するための戦略をご紹介します。

FileFix攻撃を理解する:StealCマルウェアの展開方法

WindowsのMark of the Web(MoTW)を回避した以前のバージョンをベースに、現在のFileFix攻撃はファイルシステムの脆弱性を悪用し、EDDIESTEALERに類似したStealCインフォスティーラーを起動する悪意のあるイメージをダウンロードします。この手法が実行されると、PCのメモリ内で動作し、従来のセキュリティ対策による検出を回避するため、重大なリスクをもたらします。

FileFix 攻撃がどのように展開されるかの詳細な内訳は次のとおりです。

  • 被害者は、多くの場合Facebookアカウントの停止通知を装ったフィッシングサイトに誘導されます。インシデントレポートを表示するために、特定のファイルパスをファイルエクスプローラーにコピーするよう促されます。しかし、このパスには悪意のあるペイロードが隠されており、ユーザーには正当なものに見えるように見せかけます。
偽のFacebookアカウント停止通知
画像出典:アクロニス
  • 実行されると、攻撃は PowerShell コマンドをトリガーし、隠しスクリプトが埋め込まれた画像ファイルをダウンロードします。
  • PowerShellはその後、隠されたコンテンツをデコードし、StealCマルウェアをシステムのメモリにロードします。これにより、ディスク上に痕跡が残らず、検出はほぼ不可能になります。このインフォスティーラーは、ブラウザのCookie、保存された認証情報、暗号通貨ウォレット情報などの機密データを標的とします。

FileFix 攻撃では StealC インフォスティーラーと Facebook フィッシング ページが目立っていますが、そのフレームワークは汎用性が高く、さまざまなマルウェア株を展開することを目的としたさまざまなフィッシング操作で再利用できます。

FileFix攻撃から身を守る

FileFix攻撃は巧妙ですが、セキュリティを強化するための予防策を講じることは可能です。以下は、この悪意のある攻撃から身を守るための実用的な推奨事項です。

  • コマンドのコピー&ペーストを避ける:実行、コマンドプロンプト、ファイルエクスプローラーなど、オペレーティングシステムのどの部分でも、ファイルパスやコマンドのコピー&ペーストは避けてください。悪意のあるコードが誤って実行されるのを防ぐため、可能な限り手動でコマンドを入力してください。
  • PowerShellのセキュリティ強化:多くの攻撃はPowerShellスクリプトを悪用するため、セキュリティ設定を強化して、不正なスクリプトの実行を防止してください。PowerShellのセキュリティ保護に関する完全なガイドを参照してください。
  • メモリスキャン機能を備えたアンチウイルス製品を選択する:リアルタイムのメモリスキャン機能を備えたアンチウイルス製品を選びましょう。BitdefenderやESETなどのプログラムは強力なメモリスキャン機能を備えています。
  • 標準ユーザー アカウントを活用する:管理者アカウントは、昇格された権限を必要とするマルウェア攻撃を受けやすいため、管理者アカウントではなく標準ユーザー アカウントを使用して日常的なタスクを実行します。

悪意のあるコマンドを実行した場合に取るべき手順

FileFix攻撃によってデバイスが侵害された疑いがある場合は、直ちに行動を起こすことが重要です。PCとアカウントを保護するために、以下の手順を体系的に実行してください。

  • インターネットから切断する:ネットワークから直ちに切断することで、インフォスティーラーが盗んだデータをコマンド&コントロール(C2)サーバーに送信するのを防ぐことができます。迅速な対応は、被害を軽減できる可能性を高めます。
  • パスワードを変更する:別の安全なデバイスを使用して、侵入先のPCでアクセスしたすべてのアカウントのパスワードを変更してください。攻撃者は通常、認証情報にアクセスした後、すぐに行動を起こすため、遅滞なく変更してください。
  • Microsoft Defender オフラインスキャンを実行します。オフラインスキャンは、信頼できる環境を利用して包括的なシステムチェックを実行します。スキャンオプションは、Windows セキュリティ アプリからアクセスします。「ウイルスと脅威の防止」「スキャンオプション」「Microsoft Defender ウイルス対策(オフラインスキャン)」
Microsoft Defenderのスキャンオプション
  • スタートアップと実行中のプロセスを監視:スキャン後、スタートアップ項目と現在実行中のプロセスを検査し、悪意のあるファイルを特定して削除します。AutorunsとProcess Explorerを活用して、プロセス正当性を確認します。
プロセスのリストを表示する自動実行
  • Windowsのリセットまたは復元:上記の対策を試しても問題が解決しない場合は、Windowsのリセットまたは復元を検討し、執拗なインフォスティーラーを排除してください。具体的なニーズに応じて、システムの復元またはクリーンインストールのいずれかを選択してください。

まとめると、FileFixのような攻撃は、フィッシングやソーシャルエンジニアリングの戦術を駆使して悪意のあるコマンドを実行します。常に警戒を怠らず、システムの安全性を脅かす可能性のある迷惑リクエストにはご注意ください。信頼できるオンラインセキュリティツールを導入することで、脅威の検出能力を高めることもできます。

出典と画像

関連記事:

マイクロソフト、ペイント、スニッピングツール、メモ帳のテストフェーズで新機能を発表
ストリークペットを手に入れてTikTokでのゲーム体験を向上させるためのヒント

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です